@seamoun : Hình như anh chưa upload các demo phải ko nhỉ :D Thân, 

Hay lém anh seamoun. Có một hướng khai thác liên quan đến tính năng upload file trong web-application (không riêng gì PHP) mới được công bố ở hội thảo BlackHat 2008 vừa rồi là GIFAR. Tóm tắt là kết hợp file GIF với file JAR lại để vượt qua same-origin policy của trình duyệt. Xem thêm http://heasman.blogspot.com/2008/08/on-gifars.html và http://www.gnucitizen.org/blog/more-on-gifars-and-other-dangerous-attacks/ Bà con thử bình luận về cái GIFAR này xem. 

Cho em hõi xí về GIFAR này : Khi đã tích hợp 2 file thành công, thì khi duyệt file GIFAR.gif thì applet java có được thực thi ko ? hay phải nhờ đến tag html <applet code="xxx.class" archive="GIFAR.gif"> ? Và lỗi này chỉ thực thi được ở phía client ( và client phải có cài đặt java ) chứ ko tác động được đến webserver ? Đây là sự kết hợp hoàn hảo với lỗi XSS ? Thx trước ạh :D 

@flier_vn: khổ bạn quá, gì mà từa lưa hết, chỗ này xọ chỗ kia. ngồi xem lại xem java applet là cái chi rồi hẵng coi cái GIFAR này là cái chi, kẻo bị tẩu hỏa nhập ma thì chẳng có ai cứu được đâu. --m 

1. Xoạn thảo 1 file java chứa mã độc rồi complie lại : $ : javac exp1.java rồi : $: jar -cf exp1.jar exp1.class => tạo file .JAR Tiếp : $ : cat xxx.gif exp1.jar > gifar.gif  

... To mrror : Nhưng.... cái lối nói chuyện của anh thì hok bik sau này anh dạy con, dạy cháu anh sao nữa, thậm chí bây giờ nếu đoán ko lầm chắc bạn bè anh chỉ đếm đầu ngón tay ! hahaha ! Muốn chỉ bảo ai thì cũng phải làm cho người đó phục trước đã ! Từng lời lẽ phát ra phải làm cho người ta "mến" và phục, như reply như anh nbt_thanh thì làm gì có ai dám mở miệng nào tiếng nào ! hahaha ! Hok biết mỗi lần bro phát ngôn ra là lại có người chỉ chữi, mặc dù cũng có rất nhiều anh cũng hay châm chọt, nhưng châm chọt của họ là để giúp cho mình tiến bộ nên mọi người cũng rất hài lòng ! Bro mới là người coi chứng bị tẫu quả nhập ma, riết hok có ai chơi với mình thì bị tẫu quả thiệt đó ! haha ! to all : có gì sai thì move wa box tán gẫu, vì ko có lý do gì để cho vào thùng rác :)  

mrro wrote:

@flier_vn: khổ bạn quá, gì mà từa lưa hết, chỗ này xọ chỗ kia. ngồi xem lại xem java applet là cái chi rồi hẵng coi cái GIFAR này là cái chi, kẻo bị tẩu hỏa nhập ma thì chẳng có ai cứu được đâu. --m 

Ừhm ! Em xin lỗi, em sẽ rút kinh nghiệm, lần sau khi tham gia chủ đề nào đó thì em phải chắc chắn rằng em am hiểu 1 chút kiến thức về chủ đề đó thì mới dám mở miệng tham gia :D Thx anh rất nhiều.. ! àh ! Riêng về cái này thì thx anh nbthanh đã giúp em hiểu phần nào rồi :) Còn đây em xin post cách tạo file GIFAR.gif ( cũng như tương tự ) dành cho những bạn chưa biết :

1. Xoạn thảo 1 file java chứa mã độc rồi complie lại : $ : javac exp1.java rồi : $: jar -cf exp1.jar exp1.class => tạo file .JAR Tiếp : $ : cat xxx.gif exp1.jar > gifar.gif  

Okies! Thành công :D To mrror : Nhưng.... cái lối nói chuyện của anh thì hok bik sau này anh dạy con, dạy cháu anh sao nữa, thậm chí bây giờ nếu đoán ko lầm chắc bạn bè anh chỉ đếm đầu ngón tay ! hahaha ! Muốn chỉ bảo ai thì cũng phải làm cho người đó phục trước đã ! Từng lời lẽ phát ra phải làm cho người ta "mến" và phục, như reply như anh nbt_thanh thì làm gì có ai dám mở miệng nào tiếng nào ! hahaha ! Hok biết mỗi lần bro phát ngôn ra là lại có người chỉ chữi, mặc dù cũng có rất nhiều anh cũng hay châm chọt, nhưng châm chọt của họ là để giúp cho mình tiến bộ nên mọi người cũng rất hài lòng ! Bro mới là người coi chứng bị tẫu quả nhập ma, riết hok có ai chơi với mình thì bị tẫu quả thiệt đó ! haha ! to all : có gì sai thì move wa box tán gẫu, vì ko có lý do gì để cho vào thùng rác :)  

http://forum.vnoss.org/pub/smart-questions-vi.html#Hi%E1%BB%83u_c%C3%A2u_tr%E1%BA%A3_l%E1%BB%9Di_nh%C6%B0_th%E1%BA%BF_n%C3%A0o

cho em hỏi là tại sao mình không chỉnh lại đoạn javascript rồi upload lên hoạt là tắt chức năng sử dụng javascript đi vì cách này em hay dùng thay vì phải dùng tool chỉnh gói tin gửi đi! tuy nhiên cám ơn anh nhiều vì cho em cái tool khá hay hehe! 

hehe em nói ở ví dụ 1 mà anh, rõ ràng nó check ở client mà!, còn các ví dụ khác thi buộc phải chỉnh gói tin gửi đi rồi! nhiều site như vậy lém, check ở client! 

tắt chức năng sử dụng javascript đi hoặc là lưu file đó lại, đổi chữ "gif" bằng "php" được không nhỉ ? 

javascript: function chkFileExtension(){return true;}

Cho mình hỏi muốn để burp suite bên dưới trình duyệt FF có chũ P on/off giống của seamoun thì làm thế nào vậy 

I. GIỚI THIỆU Ứng dụng Web hỗ trợ cho phép người sử dụng thực hiện upload file lên server hiện tại có rất nhiều. Ví dụ như upload image(*.gif, *.jpg), *.pdf, *.doc, ... Trong bài này seamoun sẽ trình bày một số lỗi khi lập trình file upload mà kẻ xấu có thể lợi dụng để upload những mã độc lên server. Những phương thức khai thác mà seamoun trình bày chỉ mang tính tham khảo không ủng hộ các bạn khai thác đối với những server bị mắc lỗi. II. KHAI THÁC LỖI UPLOAD FILE 1) Trường hợp sử dụng JavaScript để kiểm tra file upload Giả sử ta có kịch bản gồm 2 file như sau: Code:

<html>
<title>Secure file upload PHP Web Applications</title>
<head>
<script language=javascript>
function chkFileExtension()
{
	var str=document.upload.userfile.value;
	var ext=str.substring(str.length,str.length-3);
	if ( ext != "gif")
	{
		alert("File is invalid");
		return false;
	}
	else
	{
		return true;
	};
}
</script>
</head>
<body>
<form name="upload" action="upload1.php" method="POST" ENCTYPE="multipart/form-data"  onSubmit="return chkFileExtension()">
Select the file to upload: <input type="file" name="userfile">
<input type="submit" name="upload" value="upload">
</form>
</body>
</html>

Code:

<?php

$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
    echo "File was successfully uploaded.\n";
} else {
    echo "File uploading failed.\n";
}
?>

Ví dụ trên cho thấy người lập trình kiểm tra phần mở rộng file cho phép file upload bằng cách sử dụng một đoạn mã Javascript trong file upload1.html. Chỉ chấp nhận những file có phần mở rộng là *.gif thì mới được phép upload, cách này một kẻ tấn công dễ dàng vượt qua bằng cách sử dụng một intercepting proxy hoặc có thể viết một đoạn mã bằng Perl, Python,... mà đệ trình trực tiếp đến file upload1.php với những tham số cần thiết. Trong demo sau seamoun sử dụng Burp Suite là một tool rất mạnh khi thực hiện Web Application. Có thể download tại : http://portswigger.net/ 

4) Trường hợp kiểm tra phần mở rộng của file trên server với đoạn mã sau: Code:

<?php

$blacklist = array(".php", ".phtml");

foreach ($blacklist as $item) {
   if(preg_match("/$item\$/i", $_FILES['userfile']['name'])) {
       echo "We do not allow uploading PHP files\n";
       exit;
   }
}

$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
    echo "File is valid, and was successfully uploaded.\n";
} else {
    echo "File uploading failed.\n";
}
?>

Như vậy với đoạn mã người lập trình đã ngăn chặn kẻ tấn công không thể upload file *.php lên server. Tuy nhiên trường hợp này cũng chưa an toàn với những server mà có cấu hình file *.gif, *.jpg cho phép xử lý PHP. Do vậy kẻ tấn công vẫn upload file gif, jpg lên server nhưng có chèn thêm mã độc vào. III. CÁCH PHÒNG CHỐNG Mấu chốt giải quyết vấn để làm thế nào an toàn trong file upload đó là lưu giữ file upload lên một nơi mà không thể truy cập bởi user thông qua URL. Điều này có thể thực hiện được bằng cách lưu file upload bên ngoài thưc mục webroot hoặc trên web server nhưng từ chối truy cập đến thư mục đó. Tài liệu tham khảo: Secure File Upload In PHP Web Applications - ScanIt Công cụ sử dụng: Burp Suite http://portswigger.net/)